設定 AEM as a Cloud Service 的進階網路 configuring-advanced-networking

本文介紹 AEM as a Cloud Service 所提供的進階網路功能。 這些功能包括 VPN、非標準連接埠和專用輸出 IP 位址的自助服務與 API 佈建。

除了本文件以外，還有一系列教學課程，旨在引導您逐步了解每個進階網路選項。 請參閱進階網路。

curl -X POST https://cloudmanager.adobe.io/api/program/{PROGRAM_ID}/environment/{ENV_ID}/vpn \
   -H "Authorization: Bearer {ACCESS_TOKEN}" \
   -H "x-api-key: {API_KEY}" \
   -H "Content-Type: application/json" \
   -d '{
       "providerId": "aws",
       "portMappings": [
           {
               "name": "SSH",
               "protocol": "TCP",
               "port": 22
           }
       ]
   }'

概觀 overview

AEM as a Cloud Service 提供以下進階網路選項：

本文首先會詳細說明每個選項以及為什麼您可能會使用這些選項，然後會說明如何使用 Cloud Manager UI 和 API 來設定選項。 本文最後提供了一些進階用例。

要求和限制 requirements

設定進階網路功能時，有以下限制。

設定和啟用進階網絡 configuring-enabling

使用進階網路功能需要兩個步驟：

這兩個步驟都可以使用 Cloud Manager UI 或 Cloud Manager API 來完成。

彈性連接埠輸出 flexible-port-egress

此進階網路功能可讓您設定 AEM as a Cloud Service 以透過預設開啟的 HTTP (連接埠 80) 和 HTTPS (連接埠 443) 以外的連接埠輸出流量。

UI 設定 configuring-flexible-port-egress-provision-ui

側面板的「網路基礎結構」標題下方會出現一筆新的記錄。 其中包括基礎結構類型、狀態、區域以及啟用的環境等詳細資訊。

API 設定 configuring-flexible-port-egress-provision-api

對每個程式會叫用一次 POST/program/<programId>/networkInfrastructures 端點，直接傳遞 flexiblePortEgress 的值 (kind 參數和區域)。 端點會以 network_id 及其他資訊回應，包括狀態。

呼叫後，通常需要大約 15 分鐘的時間來佈建網路基礎結構。 對 Cloud Manager 的網路基礎結構 GET 端點的呼叫會顯示「就緒」狀態。

流量路由 flexible-port-egress-traffic-routing

對於流向 80 或 443 以外連接埠的 http 或 https 流量，應使用以下主機和連接埠環境變數來設定 Proxy：

例如，以下是傳送要求至 www.example.com:8443 的範例程式碼：

String url = "www.example.com:8443"
String proxyHost = System.getenv().getOrDefault("AEM_PROXY_HOST", "proxy.tunnel");
int proxyPort = Integer.parseInt(System.getenv().getOrDefault("AEM_HTTPS_PROXY_PORT", "3128"));
HttpClient client = HttpClient.newBuilder()
      .proxy(ProxySelector.of(new InetSocketAddress(proxyHost, proxyPort)))
      .build();

HttpRequest request = HttpRequest.newBuilder().uri(URI.create(url)).build();
HttpResponse<String> response = client.send(request, BodyHandlers.ofString());

如果使用非標準 Java™ 網路程式庫，請使用上述屬性為所有流量設定 Proxy。

目標流經portForwards引數中宣告的連線埠的非HTTP/S流量應該參照名為AEM_PROXY_HOST的屬性，以及對應的連線埠。 例如：

DriverManager.getConnection("jdbc:mysql://" + System.getenv("AEM_PROXY_HOST") + ":53306/test");

下表描述了流量路由：

Apache / Dispatcher 設定 apache-dispatcher

可以使用上述屬性設定 AEM Cloud Service Apache / Dispatcher 層的 mod_proxy 指令。

ProxyRemote "http://example.com:8080" "http://${AEM_PROXY_HOST}:3128"
ProxyPass "/somepath" "http://example.com:8080"
ProxyPassReverse "/somepath" "http://example.com:8080"

SSLProxyEngine on //needed for https backends

ProxyRemote "https://example.com:8443" "http://${AEM_PROXY_HOST}:3128"
ProxyPass "/somepath" "https://example.com:8443"
ProxyPassReverse "/somepath" "https://example.com:8443"

專用輸出 IP 位址 dedicated-egress-ip-address

在與 SaaS 廠商 (如 CRM 廠商) 整合或在 AEM as a Cloud Service 之外有提供 IP 位址允許清單的其他整合時，專用的 IP 位址可以增強安全性。 新增專用的 IP 位址新增至允許清單，可確保只允許來自 AEM Cloud Service 的流量流向外部服務。 此方法是對任何其他已允許 IP 流量的額外補充。

相同的專用 IP 適用於方案中的所有環境，並且適用於製作和發佈服務。

如果沒有啟用專用 IP 位址功能，AEM as a Cloud Service 的流量會流經一組共用的 IP。 這些是 AEM as a Cloud Service 的其他客戶所使用的 IP。

設定專用輸出 IP 位址類似於彈性的連接埠輸出。 主要差異在於，在設定之後，流量一律會從專用的唯一IP傳出。 若要尋找該 IP，請使用 DNS 解析器識別與 p{PROGRAM_ID}.external.adobeaemcloud.com 相關聯的 IP 位址。 該 IP 位址預期不會變更，但如果必須變更會事先通知。

UI 設定 configuring-dedicated-egress-provision-ui

新記錄會顯示在側邊面板中的​ 網路基礎結構 ​標題下方。 其中包括基礎結構類型、狀態、區域以及啟用的環境等詳細資訊。

API 設定 configuring-dedicated-egress-provision-api

對每個程式會叫用一次 POST/program/<programId>/networkInfrastructures 端點，直接傳遞 dedicatedEgressIp 的值 (kind 參數和區域)。 端點會以 network_id 及其他資訊回應，包括狀態。

呼叫後，通常需要大約 15 分鐘的時間來佈建網路基礎結構。 對 Cloud Manager 的網路基礎結構 GET 端點的呼叫會顯示「就緒」狀態。

流量路由 dedicated-egress-ip-traffic-routing

HTTP或HTTPS流量會流經預先設定的Proxy，前提是它們使用標準Java™系統屬性進行Proxy設定。

目標流經 portForwards 參數中宣告的連接埠的非 http/s 流量應該參照一個名為 AEM_PROXY_HOST 的屬性，以及對應的連接埠。 例如：

DriverManager.getConnection("jdbc:mysql://" + System.getenv("AEM_PROXY_HOST") + ":53306/test");

功能使用情況 feature-usage

功能與導致輸出流量的 Java™ 程式碼或資料庫相容，前提是它們使用標準 Java™ 系統屬性進行 Proxy 設定。 實際上，此方法應該包括最常見的資料庫。

以下是程式碼範例：

public JSONObject getJsonObject(String relativePath, String queryString) throws IOException, JSONException {
  String relativeUri = queryString.isEmpty() ? relativePath : (relativePath + '?' + queryString);
  URL finalUrl = endpointUri.resolve(relativeUri).toURL();
  URLConnection connection = finalUrl.openConnection();
  connection.addRequestProperty("Accept", "application/json");
  connection.addRequestProperty("X-API-KEY", apiKey);

  try (InputStream responseStream = connection.getInputStream(); Reader responseReader = new BufferedReader(new InputStreamReader(responseStream, Charsets.UTF_8))) {
    return new JSONObject(new JSONTokener(responseReader));
  }
}

一些資料庫需要明確設定才能使用標準 Java™ 系統屬性進行 Proxy 設定。

使用Apache HttpClient的範例，需要明確呼叫
HttpClientBuilder.useSystemProperties()或使用
HttpClients.createSystem():

public JSONObject getJsonObject(String relativePath, String queryString) throws IOException, JSONException {
  String relativeUri = queryString.isEmpty() ? relativePath : (relativePath + '?' + queryString);
  URL finalUrl = endpointUri.resolve(relativeUri).toURL();

  HttpClient httpClient = HttpClientBuilder.create().useSystemProperties().build();
  HttpGet request = new HttpGet(finalUrl.toURI());
  request.setHeader("Accept", "application/json");
  request.setHeader("X-API-KEY", apiKey);
  HttpResponse response = httpClient.execute(request);
  String result = EntityUtils.toString(response.getEntity());
}

偵錯考量 debugging-considerations

若要驗證流量確實在預期的專用 IP 位址上傳出，請檢查目標服務中的記錄 (如果可用)。 否則，呼叫偵錯服務可能會有幫助，例如 https://ifconfig.me/ip 會傳回呼叫的 IP 位址。

虛擬私人網路 (VPN) vpn

VPN 允許從製作、發佈或預覽執行個體連線到內部部署基礎結構或資料中心。 例如，此能力對於保護資料庫存取很有用。 VPN 還允許連線到 SaaS 廠商，例如支援 VPN 的 CRM 廠商。

支援大多數採用 IPSec 技術的 VPN 裝置。 請查閱本裝置清單內 RouteBased 設定指示​欄中的資訊。 按照表格所述設定裝置。

UI 設定 configuring-vpn-ui

新記錄會顯示在側邊面板中的​ 網路基礎結構 ​標題下方。 其中包括基礎結構類型、狀態、區域以及啟用的環境等詳細資訊。

API 設定 configuring-vpn-api

對每個程式會叫用一次 POST /program/<programId>/networkInfrastructures 端點， 這會傳遞設定資訊的承載 該資訊包括 kind 參數、區域、位址空間 (CIDR 清單 - 請注意，以後無法修改此值)、DNS 解析器 (用於解析網路中的名稱) 的 vpn 值。 還包括 VPN 連接訊息，例如網關設定、共享 VPN 金鑰和 IP 安全性原則。 端點會以 network_id 及其他資訊回應，包括狀態。

呼叫後，通常需要 45 至 60 分鐘的時間進行網路基礎結構佈建。 可以呼叫 API 中的 GET 方法傳回目前狀態，這最終會從 creating 轉成 ready。 請參閱 API 文件以了解各種狀態。

流量路由 vpn-traffic-routing

下表描述了流量路由。

供設定的實用網域 vpn-useful-domains-for-configuration

下圖提供了一組網域和相關聯的 IP 的視覺化表示，對設定和開發很有幫助。 圖表下方的表格描述了這些網域和 IP。

在環境中啟用進階網路設定 enabling

為程式設定好進階網路選項後，無論是彈性連接埠輸出、 專用輸出 IP 位址 或 VPN，若要使用，您必須在環境層級啟用。

當您為環境啟用進階網路設定時，您也可以啟用選用的連接埠轉送和非代理主機。 您可以設定每個環境的參數，以便提供彈性。

啟用使用 UI enabling-ui

進階網路設定將適用於所選環境中。 返回「環境」標籤，您可以查看套用於所選環境的設定詳細資訊及其狀態。

啟用使用 API enabling-api

若要為環境啟用進階網路設定，必須為每個環境叫用 PUT /program/<program_id>/environment/<environment_id>/advancedNetworking 端點。

API 應該會在幾秒鐘內做出回應，指示 updating 的狀態。 約 10 分鐘後，對 Cloud Manager 環境 GET 端點的呼叫會顯示 ready 的狀態，這表示已套用環境更新。

每個環境的連接埠轉送規則可以透過叫用 PUT /program/{programId}/environment/{environmentId}/advancedNetworking 端點來更新，包括完整的設定參數集而非子集。

專用輸出 IP 位址和 VPN 進階網路類型支援 nonProxyHosts 參數。 這項支援可讓您宣告一組應該透過共用IP位址範圍而不是專用IP路由的主機。 nonProxyHost URL 可能遵循 example.com 或*.example.com 的模式，其中僅在網域開頭支援萬用字元。

即使沒有環境流量路由規則 (主機或旁路)，仍然必須用空白承載呼叫 PUT /program/<program_id>/environment/<environment_id>/advancedNetworking。

編輯並刪除環境中的進階網路設定 editing-deleting-environments

啟用環境的進階網路設定後，您可以更新這些設定的詳細資訊或將其刪除。

使用 UI 編輯或刪除 editing-ui

變更會反映在「環境」標籤上。

使用 API 編輯或刪除 editing-api

若要刪除特定環境的進階網絡，請呼叫 DELETE [/program/{programId}/environment/{environmentId}/advancedNetworking]()。

編輯和刪除程式的網路基礎結構 editing-deleting-program

一旦為程式建立了網路基礎結構，就只能編輯有限的屬性。 如果您不再需要它，可以刪除整個程式的進階網路基礎結構。

使用UI編輯、測試或刪除 delete-ui

變更會反映在「環境」標籤上。

使用API編輯和刪除 delete-api

要​ 刪除 ​程式的網路基礎結構，請叫用 DELETE /program/{program ID}/networkinfrastructure/{networkinfrastructureID}。

變更程式的進階網路基礎架構型別 changing-program

一個方案一次只能設定一種類型的進階網路基礎結構。 進階網路基礎結構必須是彈性連接埠輸出、專用輸出 IP 位址或 VPN。

如果您決定需要進階網路基礎架構型別，而不是您已經設定的型別，請刪除現有的型別，然後建立另一個型別。 請執行下列動作：

適用於其他發佈區域的進階網路設定 advanced-networking-configuration-for-additional-publish-regions

當已設定進階網路的環境中新增額外的區域時，來自額外發佈區域的流量會遵循現有規則。 預設情況下，相符的流量將路由經過主要區域。 但是，如果主要區域變成無法使用，並且在額外區域中尚未啟用進階網路，則進階網路流量會下降。 如果您想在其中一個區域發生中斷時將延遲最佳化並提高可用性，則有必要啟用額外發佈區域的進階網路。 以下章節會說明兩種不同的案例。

專用輸出IP地址 additional-publish-regions-dedicated-egress

進階網路已在主要區域中啟用 already-enabled

如果已在主要區域中啟用進階網路設定，請依照下列步驟進行：

尚未在任何區域中設定進階網路 not-yet-configured

此程序和先前的說明大部分類似。 但是，如果尚未啟用進階網路的生產環境，則有機會先在中繼環境中啟用以測試該設定：

VPN vpn-regions

該程序和專用的輸出 IP 位址說明幾乎相同。 唯一的差異是區域屬性的設定與主要區域不同。 此外，您也可以選擇設定 connections.gateway 欄位。 此設定可路由至由貴組織操作的不同 VPN 端點，在地理位置上更接近新區域。

疑難排解

請注意，以下幾點提供資訊性指南，並包含疑難排解的最佳作法。 這些建議旨在協助有效診斷和解決問題。

連線集區 connection-pooling-advanced-networking

連線集區是一種專門用來建立和維持連線存放庫的技術，隨時可供任何可能需要連線的執行緒立即使用。 在各種線上平台和資源中可以找到許多連線集區技術，每種技術都有其獨特的優點和考量。 Adobe 建議客戶研究這些方法，以找出與其系統架構最為相容的方法。

實作適當的連線集區策略是主動修正系統設定中常見疏忽的措施，因為這種疏忽經常導致效能不佳。 用正確的方式建立連線集區，可協助 Adobe Experience Manager (AEM) 改善外部呼叫的效率。 此方法不但可以減少資源消耗，亦可緩解服務中斷的風險，並降低與上游伺服器通訊時發生請求失敗的機率。

Adobe 建議您根據這些資訊檢查目前的 AEM 設定。 也可以考慮刻意在進階網路設定中使用連線集區。 管理並行連線的數量並減少過時連線有助於網路效能最佳化。 這些動作可降低 Proxy 伺服器達到其連線數量限制的風險。 因此，此策略實作旨在降低請求無法與外部端點連接通訊的可能性。

連線限制常見問題集

使用進階網路時，連線數量會受到限制，以確保各個環境之間保持穩定性，並避免較低階的環境耗盡可用的連線。

每個 AEM 執行個體的連線數量限制為 1000 個，當數量達到 750 個時，系統會向客戶傳送警報。

連線限制只適用於非標準連接埠的輸出流量，還是適用於所有輸出流量？

此限制只適用於使用進階網路的連線 (非標準連接埠上的輸出、使用專用輸出 IP 或 VPN)。

輸出連線的數量似乎沒有明顯增加。 為什麼現在才收到通知？

如果客戶動態建立連線 (例如，每個請求建立一個或多個連線)，流量增加可能會導致連線數量激增。

以前是否已經發生過類似的情況而沒有觸發警報？

只有達到軟限制時，系統才會發送警報。

如果達到限制上限會發生什麼？

當達到硬性限制時，將捨棄從AEM透過進階網路（非標準連線埠上的輸出，使用專用輸出IP或VPN）的新輸出連線，以防止DoS攻擊。

可以提高限制嗎？

不可以，大量連線可能會導致顯著的效能影響，以及跨 Pod 和環境的 DoS。

AEM 系統會在一段時間後自動關閉連線嗎？

是的，會在 JVM 層級以及在網路基礎結構的不同點上關閉連線。 但此工作流程對任何生產服務而言，都只是亡羊補牢。 當您不再使用連線時應確實關閉該連線，或在使用連線集區的情況下讓連線返回集區中。 否則，資源會過度消耗，並可能導致資源耗盡。

如果達到連線限制上限，是否會影響授權並導致額外費用？

不會，沒有與此限制相關的授權或費用。 這是一個技術限制。

目前的使用量距離數量限制還有多遠？ 數量限制的允許上限是多少？

當連線數超過 750 時，將觸發警報。 每個 AEM 執行個體的連線數上限為 1000 個。

此限制適用於 VPN 嗎？

是的，此限制適用於使用進階網路 (包括 VPN) 的連線。

使用專用輸出IP時限制是否仍適用？

是的，如果使用專用輸出 IP，仍然適用該限制。